Re: L2TP/IPSec Verbindung läuft mit XP SP2 nicht mehr

From: Philip Ross (philip.ross_at_imagesemantics.com)
Date: 08/20/04

• Next message: Lars P. Wolschner: "Re: Kann man den Gateway steuern?"
• Previous message: Sem Ripko: "Re: kein DFÜ-Verbindungs-Dialog bei vielen Programmen"
• In reply to: Franz Schenk: "L2TP/IPSec Verbindung läuft mit XP SP2 nicht mehr"
• Messages sorted by: [ date ] [ thread ]

Date: 20 Aug 2004 03:33:36 -0700

Franz Schenk,

In XPSP2 the IPsec driver needs a registry setting when either the
server or workstation are behind a NAT gateway.

The setting is "AssumeUDPEncapsulationContextOnSendRule" and can have
one of three settings:
0- Default ( a Client Behind a NAT does IPSEC to the outer world)
1- Client initiates to a server that is behind the NAT
2- Both end points are behind their own NAT

The machine needs to be rebooted after changing the registry for this
to take effect.

e.g. A registry file for when both endpoints are behind a NAT gateway
and therefore VPN NAT-T is needed might look like this:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

--philip.

"Franz Schenk" <franz.schenkNOSPAM@fititNO-_SPAM.ch> wrote in message news:<ukVxKiQgEHA.3548@TK2MSFTNGP09.phx.gbl>...
> Wir haben die folgenden Konfigurationen:
>
> - workstation1 mit Windows.xp SP2, Mitglied von domain1, Benutzer hat lokale
> Administratorrechte
> - workstation2 mit Windows.xp SP1a und IPSec NAT-T Traversal Update,
> Mitglied von domain1, Benutzer hat lokale Administratorrechte
> - Windows 2003 VPN RRAS Server, memberserver von domain1
> - anderern Windows 2003 VPN RRAS Server, Memberserver einer anderen domain2
> in einem anderen Netzwerk (anderen AD Forest)
>
>
> Was funktioniert:
> - IPSec VPN Verbindung mit workstation1 zum RRAS Server von domain1
> - IPSec VPN Verbindung mit workstation2 zum RRAS Server von domain1
> - IPSec VPN Verbindung mit workstation2 zum RRAS Server von domain2
>
> Was nicht mehr funktioniert:
> - IPSec VPN Verbindung mit workstation1 zum RRAS Server von domain2!
>
> Diese Verbindung funktioniert seit dem Windows XP SP2 Upgrade nicht mehr.
> Der Client produziert "Error 792: The L2TP connection attempt failed because
> security negotiations timed out". Auf dem VPN Server gibt es einen Eventlog
> Eintrag im Security eventlog, beschrieben am Ende dieser Nachricht. Wir
> überprüften, dass das IPSec Computerzertifikat von domain2 auf dem Windows
> XP SP2 Client noch okay ist, einschließlich des Zertifizierungspfades. Das
> Problem liegt definitiv in Windows XP SP2, eine L2TP/IPSec Anschluß mit
> workstation2 zum gleichen VPN Server der anderen domain2 funktioniert
> nachwievor fehlerfrei. Habe darauf die Windows Firewall auf dem XPSP2 Client
> vollständig deaktiviert, das System anschliessend neu gestartet.
> Fehlanzeige: Die IPSec Verbindung auf den VPN Server der domain2
> funktioniert immer noch nicht (genau gleiche Fehlermeldungen und Eventlog
> Einträge wie mit aktivierter Windows Firewall.)
>
> Was hat sich bei XP SP2 in der IPSec Implementation geändert? Danke im
> voraus für jede Hilfe!
> Franz
>
> -------------------------------
>
> Eventlog entry on VPN server of domain2 after unsuccessfull connection
> request of XP SP2 client "workstation1":
>
>
> Event Type: Failure Audit
> Event Source: Security
> Event Category: Logon/Logoff
> Event ID: 547
> Date: 12.08.2004
> Time: 14:13:43
> User: NT AUTHORITY\NETWORK SERVICE
> Computer: BETA
> Description:
> IKE security association negotiation failed.
> Mode:
> Key Exchange Mode (Main Mode)
>
> Filter:
> Source IP Address 193.135.215.141
> Source IP Address Mask 255.255.255.255
> Destination IP Address 194.230.199.139
> Destination IP Address Mask 255.255.255.255
> Protocol 0
> Source Port 0
> Destination Port 0
> IKE Local Addr 193.135.215.141
> IKE Peer Addr 194.230.199.139
> IKE Source Port 500
> IKE Destination Port 500
> Peer Private Addr
>
> Peer Identity:
> Certificate based Identity.
> Peer Subject
> Peer SHA Thumbprint 0000000000000000000000000000000000000000
> Peer Issuing Certificate Authority
> Root Certificate Authority
> My Subject
> My SHA Thumbprint 0000000000000000000000000000000000000000
> Peer IP Address: 194.230.199.139
>
> Failure Point:
> Me
>
> Failure Reason:
> IKE authentication credentials are unacceptable
>
> Extra Status:
> Processed second (KE) payload
> Responder. Delta Time 1
> 0x0 0x0

• Next message: Lars P. Wolschner: "Re: Kann man den Gateway steuern?"
• Previous message: Sem Ripko: "Re: kein DFÜ-Verbindungs-Dialog bei vielen Programmen"
• In reply to: Franz Schenk: "L2TP/IPSec Verbindung läuft mit XP SP2 nicht mehr"
• Messages sorted by: [ date ] [ thread ]

• Windows
• Science
• Usenet

• Archive
• About
• Privacy
• Search
• Imprint